{"id":30054,"date":"2023-04-25T12:44:05","date_gmt":"2023-04-25T10:44:05","guid":{"rendered":"https:\/\/www.kaspersky.de\/blog\/?p=30054"},"modified":"2023-04-25T12:44:05","modified_gmt":"2023-04-25T10:44:05","slug":"linux-vmware-esxi-ransomware-attacks","status":"publish","type":"post","link":"https:\/\/www.kaspersky.de\/blog\/linux-vmware-esxi-ransomware-attacks\/30054\/","title":{"rendered":"Angriffe auf Virtualisierungssysteme und Linux-Server"},"content":{"rendered":"<p>Ransomware. \u00dcble Sache. Aber wie kann man sich vor ihr sch\u00fctzen? Und vor allem: Was sollte in erster Linie gesch\u00fctzt werden? Oft sind Windows-Workstations, Active Directory-Server und andere Microsoft-Produkte die Hauptanw\u00e4rter. Und diese Vorgehensweise ist in der Regel auch gerechtfertigt. Allerdings sollten wir bedenken, dass sich die Taktiken von Cyberkriminellen st\u00e4ndig weiterentwickeln und inzwischen auch <a href=\"https:\/\/securelist.com\/new-ransomware-trends-in-2022\/106457\/\" target=\"_blank\" rel=\"noopener\">f\u00fcr Linux-Server<\/a> und Virtualisierungssysteme sch\u00e4dliche Tools entwickelt werden. So ist die Gesamtzahl der Angriffe auf Linux-Systeme im Jahr 2022 <a href=\"https:\/\/www.zdnet.com\/article\/linux-devices-increasingly-under-attack-from-hackers-warn-security-researchers\/\" target=\"_blank\" rel=\"noopener nofollow\">um etwa 75 % gestiegen<\/a>.<\/p>\n<p>Die Motivation hinter solchen Angriffen ist offensichtlich: Die Popularit\u00e4t von Open Source und Virtualisierung nimmt zu, was bedeutet, dass immer mehr Server mit Linux oder VMWare ESXi laufen. Diese speichern oft viele wichtige Informationen, die, wenn sie verschl\u00fcsselt werden, den Betrieb eines Unternehmens sofort lahmlegen k\u00f6nnen. Da die Sicherheit von Windows-Systemen traditionell im Mittelpunkt des Interesses steht, erweisen sich Server, die nicht unter Windows laufen, als leichte Beute.<\/p>\n<h2>Angriffe 2022\u20132023<\/h2>\n<ul>\n<li>Im Februar 2023 wurden viele Besitzer von VMware ESXi-Servern von der <a href=\"https:\/\/t.me\/kasperskyb2b\/448\" target=\"_blank\" rel=\"noopener nofollow\">Ransomware ESXiArgs<\/a> Durch Ausnutzung der Sicherheitsl\u00fccke CVE-2021-21974 wurden virtuelle Maschinen von Angreifern lahmgelegt und Dateien mit den Endungen .vmxf, .vmx, .vmdk, .vmsd und .nvram verschl\u00fcsselt.<\/li>\n<li>Die ber\u00fcchtigte Clop-Gang \u2013 bekannt f\u00fcr einen <a href=\"https:\/\/www.bleepingcomputer.com\/news\/security\/clop-ransomware-claims-it-breached-130-orgs-using-goanywhere-zero-day\/\" target=\"_blank\" rel=\"noopener nofollow\">gro\u00df angelegten Angriff<\/a> auf verwundbare Datei\u00fcbertragungsdienste von Fortra GoAnywhere \u00fcber <a href=\"https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2023-0669\" target=\"_blank\" rel=\"noopener nofollow\">CVE-2023-0669<\/a> \u2013 wurde im Dezember 2022 mit einer (wenn auch eingeschr\u00e4nkten) Linux-Version ihrer Ransomware gesichtet. Diese unterscheidet sich erheblich von ihrem Windows-Pendant (einige Optimierungen und Verteidigungstricks fehlen), ist jedoch an Linux-Berechtigungen und -Benutzertypen angepasst und zielt <a href=\"https:\/\/www.bleepingcomputer.com\/news\/security\/clop-ransomware-flaw-allowed-linux-victims-to-recover-files-for-months\/\" target=\"_blank\" rel=\"noopener nofollow\">speziell auf Oracle-Datenbank-Ordner<\/a><\/li>\n<li>Eine neue Version der <a href=\"https:\/\/securelist.com\/luna-black-basta-ransomware\/106950\/\" target=\"_blank\" rel=\"noopener\">BlackBasta-Ransomware<\/a> wurde speziell f\u00fcr Angriffe auf ESXi-Hypervisoren entwickelt. Das Verschl\u00fcsselungskonzept verwendet den ChaCha20-Algorithmus im Multi-Thread-Modus unter Einsatz mehrerer Prozessoren. Da ESXi-Farmen normalerweise aus einer Vielzahl von Prozessoren bestehen, minimiert dieser Algorithmus die f\u00fcr die Verschl\u00fcsselung der gesamten Umgebung ben\u00f6tigte Zeit.<\/li>\n<li>Kurz vor ihrer Aufl\u00f6sung r\u00fcstete sich die Conti-Hackergruppe ebenfalls mit Ransomware aus, die auf ESXi abzielte. Leider wurde ein Gro\u00dfteil des Conti-Codes ver\u00f6ffentlicht, sodass ihre Entwicklungen nun einem breiten Spektrum von Cyberkriminellen zur Verf\u00fcgung stehen.<\/li>\n<li>Die in Rust geschriebene Ransomware BlackCat ist auch in der Lage, virtuelle ESXi-Maschinen zu deaktivieren und l\u00f6schen. In anderen Punkten unterscheidet sich der Schadcode kaum von seiner Windows-Version.<\/li>\n<li>Die plattform\u00fcbergreifende <a href=\"https:\/\/www.kaspersky.de\/blog\/luna-blackbasta-ransomware\/44900\/\" target=\"_blank\" rel=\"noopener\">Ransomware Luna<\/a>, die wir im Jahr 2022 entdeckten, konnte auf Windows-, Linux- und ESXi-Systemen ausgef\u00fchrt werden. Selbstverst\u00e4ndlich konnte auch die <a href=\"https:\/\/www.zdnet.com\/article\/this-sneaky-ransomware-is-now-targeting-linux-servers-too\/\" target=\"_blank\" rel=\"noopener nofollow\">Gruppe LockBit<\/a> diesen Trend nicht ignorieren: Sie begann ebenfalls, ESXi-Versionen ihrer Malware f\u00fcr Partner anzubieten.<\/li>\n<li>Zu den \u00e4lteren (aber leider effektiven) Angriffen geh\u00f6rten auch die RansomEXX- und QNAPCrypt-Kampagnen, die vor <a href=\"https:\/\/www.kaspersky.com\/blog\/linux-security-hybrid-cloud\/41259\/\" target=\"_blank\" rel=\"noopener nofollow\">allem Linux-Server angriffen<\/a>.<\/li>\n<\/ul>\n<p>\u00a0<\/p>\n<h2><strong>Taktiken f\u00fcr Server-Angriffe<\/strong><\/h2>\n<p>Das Einschleusen in Linux-Server basiert in der Regel auf dem Exploit von Schwachstellen. Angreifer k\u00f6nnen Schwachstellen im Betriebssystem, in Webservern und anderen Basisanwendungen sowie in Gesch\u00e4ftsanwendungen, Datenbanken und Virtualisierungssystemen als Waffen einsetzen. <a href=\"https:\/\/www.kaspersky.de\/blog\/log4shell-critical-vulnerability-in-apache-log4j\/43124\/\" target=\"_blank\" rel=\"noopener\">Wie im vergangenen Jahr von Log4Shell demonstriert<\/a>, erfordern Sicherheitsl\u00fccken in Open-Source-Komponenten besondere Aufmerksamkeit. Nach einem ersten Eindringen nutzen viele Ransomware-St\u00e4mme noch weitere Tricks oder Schwachstellen, um die Berechtigungen zu erweitern und das System zu verschl\u00fcsseln.<\/p>\n<p>\u00a0<\/p>\n<h2><strong>Vorrangige Schutzma\u00dfnahmen f\u00fcr Linux-Server<\/strong><\/h2>\n<p>Um die Wahrscheinlichkeit von Angriffen auf Linux-Server zu minimieren, empfehlen wir:<\/p>\n<ul>\n<li>Sicherheitsl\u00fccken umgehend zu schlie\u00dfen<\/li>\n<li>Die Anzahl der offenen Ports und Verbindungen zum Internet zu minimieren<\/li>\n<li>Den Einsatz von <a href=\"https:\/\/www.kaspersky.de\/enterprise-security\/cloud-security?icid=de_kdailyplacehold_acq_ona_smm__onl_b2b_kasperskydaily_wpplaceholder_______\" target=\"_blank\" rel=\"noopener\">spezialisierten Sicherheitstools<\/a> auf Servern, um das Betriebssystem selbst sowie virtuelle Maschinen und Container, die auf dem Server gehostet werden, zu sch\u00fctzen. <a href=\"https:\/\/www.kaspersky.com\/blog\/linux-security-hybrid-cloud\/41259\/\" target=\"_blank\" rel=\"noopener nofollow\">Lesen Sie mehr \u00fcber den Schutz von Linux in unserem dedizierten Beitrag<\/a>.<\/li>\n<\/ul>\n<input type=\"hidden\" class=\"category_for_banner\" value=\"mdr\"><input type=\"hidden\" class=\"placeholder_for_banner\" data-cat_id=\"mdr\" value=\"28669\">\n","protected":false},"excerpt":{"rendered":"<p>Linux- und ESXi-basierte Systeme werden zunehmend Opfer von Ransomware-Angriffen. Wie k\u00f6nnen Sie Ihre Server sch\u00fctzen?<\/p>\n","protected":false},"author":2581,"featured_media":30055,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[1848,3107,3108],"tags":[274,4057,938,535,645,3797],"class_list":{"0":"post-30054","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-business","8":"category-enterprise","9":"category-smb","10":"tag-bedrohungen","11":"tag-esxi","12":"tag-linux","13":"tag-ransomware","14":"tag-technologie","15":"tag-vmware"},"hreflang":[{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/linux-vmware-esxi-ransomware-attacks\/30054\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/linux-vmware-esxi-ransomware-attacks\/25554\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/linux-vmware-esxi-ransomware-attacks\/20973\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/linux-vmware-esxi-ransomware-attacks\/28180\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/linux-vmware-esxi-ransomware-attacks\/25849\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/linux-vmware-esxi-ransomware-attacks\/26242\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/linux-vmware-esxi-ransomware-attacks\/28727\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/linux-vmware-esxi-ransomware-attacks\/35166\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/linux-vmware-esxi-ransomware-attacks\/47988\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/linux-vmware-esxi-ransomware-attacks\/20481\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/linux-vmware-esxi-ransomware-attacks\/21162\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/linux-vmware-esxi-ransomware-attacks\/33801\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/linux-vmware-esxi-ransomware-attacks\/26170\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/linux-vmware-esxi-ransomware-attacks\/31858\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/linux-vmware-esxi-ransomware-attacks\/31542\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.de\/blog\/tag\/ransomware\/","name":"Ransomware"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/30054","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/users\/2581"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/comments?post=30054"}],"version-history":[{"count":3,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/30054\/revisions"}],"predecessor-version":[{"id":30058,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/30054\/revisions\/30058"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/media\/30055"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/media?parent=30054"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/categories?post=30054"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/tags?post=30054"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}